本文作者为mendix 首席信息安全官frank baalbergen
mendix相信,低代码开发的安全性和隐私保护离不开信任。mendix、用户及其客户需要建立起信任的纽带。企业用低代码开发应用时,不仅想加快开发和部署的速度,还要相信应用可以为企业自身及其客户提供全方位的安全保障。
为贯彻这一理念,mendix贯彻了“安全设计(security by design )”的概念,借助开箱即用的安全工具、开发方法和治理工具,确保无论由谁开发应用程序,企业及其客户的数据安全都能得到保障。
mendix如何保障低代码开发安全性?
在使用 mendix 构建应用程序时,mendix 平台可以提供程序安全性服务,因此用户无需担忧。
随着企业不断地引入新的软件,企业内部的it 系统变得越来越复杂。面对越发复杂和分散的系统,用户很难避免来自黑客的侵害。信息安全威胁始终是一个问题,而企业面临的成本和风险则日益高企。
面对这些挑战,以mendix为代表的低代码开发平台提供了出色的凯发k8官网下载的解决方案,丰富的开箱即用安全功能,可以帮助企业实现一般用户难以理解和执行的平台级标准化。
针对当下海量的应用程序和技术,mendix提供了一体化的凯发k8官网下载的解决方案,让复杂系统的构建变得简单。作为一个低代码全栈开发工具,mendix平台以更低的成本实现更加简单、安全的安全管理。mendix为用户提供开箱即用的安全性,并且还可进一步配置带有保护措施的安全设置,以满足企业的特定需求。mendix 平台的架构设计,可以降低各类型用户的使用风险。这一设计贯穿了基础设施层、平台层、服务器层,以及提供业务价值的应用程序层。
分层式的安全
在基础设施层与平台层,mendix都拥有最高级别的认证。
为提供全天候的网络安全监测,mendix和西门子均通过与端点安全软件即服务领导厂商crowdstrike的合作来实现。我们每个月会进行渗透测试,mendix平台的成千上万的客户也会对其应用程序进行渗透测试。menxi还与 hackerone 合作开展了漏洞披露项目,以实现众包安全。而所有这些都由mendix 负责,用户只需放心使用。
此外,用户还可以根据需要来配置 ip 白名单,应用客户端证书,以实现基于角色的访问控制。
mendix还有一款通过aws 云提供的名为 mendix cloud dedicated 的专用产品,可以为用户提供专享的所有mendix 云安全功能。用户使用 mendix cloud dedicated,就可通过 vpn来连接网络,以免有人通过公共互联网进行访问。
在服务器层,我们可以匹配企业使用的saml、open id、azure id 等各种单点登录(sso)策略。我们还为企业提供针对mendix 应用程序的各种监控和洞察。今年,mendix还发布了使用 micrometer添加企业自己的中央监控的新方法。micrometer 是一种仪表外观,可以提供多家厂商的度量标准,为用户提供更强大的入侵监控。
当然,这并不是说企业对应用程序保护完全没有控制权(也不应该,因为每个企业和应用都有自身特定的隐私和安全需求)。例如,应用级授权和访问权限需要由专业开发人员在应用模型中进行配置。不过,mendix也能帮用户实现这些配置。 mendix 平台为企业的团队提供了在实体、模块和项目级别配置安全性的所有标准工具。
如何实现快速开发并保持安全?
在传统软件开发的过程中,程序员需要特意考虑应用程序各方面的安全性。虽然低代码也不例外,但之后的操作却有所不同。借助 mendix 的低代码平台,企业可以为应用程序构建可复用的组件。组件在通过安全检查之后,无需重新评估即可在其他应用程序中反复使用。而在传统开发模式下,要么企业安全协议会发生变化,要么就需要更新组件。企业可以把这些组件存放在用于内部共享应用程序和组件的私有mendix market place。
传统开发需要逐行对代码进行分析。而使用mendix平台开发时,由于用户编写的软件代码较少,因此之后安全检查的工作量也较少。
例如,在传统开发中,用户必须设置授权方案,没有单一而明确的事实来源。但是在 mendix 平台中,用户可以在同一环境中构建一个域模型,设置不同的访问权限。用户还能使用微流,重复使用为特定微流配置的实体访问。此外,用户也可以为每个微流添加特定的安全设置。用户可以给微流创建名称和文档详细说明该微流的隐私和安全规则,以便之后进行搜索和识别。
治理工具
mendix平台的架构设计降低了各个级别的风险,但是我们知道,更强大的安全性需要良好的治理。要加快开发的速度,需要更多的人参与到应用开发的生命周期中,加强反馈循环或是让业务领域专家成为公民开发者。当然,这需要建立相应的保护措施,以确保他们以安全的方式完成开发。
mendix对良好治理的必要性有着充分的认知。我们的治理框架经过试用和测试,与mendix数字执行程序保持一致,基于企业低代码平台对人员、流程、产品组合和平台进行全方位的考量,可确保公民和专业开发者创建的应用符合企业和行业的指导方针和法规。
我们同样帮企业做到良好治理。为帮助企业遵守治理标准,实现把控,mendix提供了开箱即用的治理工具,来帮助企业管理越来越多的应用。
控制中心可以提供对mendix 平台所有行为的洞察、概览和控制。企业可以分配和删除管理员,查看成员及其所做项目的介绍,详细了解进行中的应用程序项目状态以及之前提交的内容。
mendix基于技能的两个集成开发环境具备一系列编程能力,可以让开发人员协作构建和部署凯发k8官网下载的解决方案。
mendix 应用程序测试套件中的工具,可以实现开发生命周期中的自动化测试。我们的产品组合质量监控工具 mendix 应用程序质量监控器 (aqm)是一项云服务,可依据软件质量模型标准 iso 25010对 mendix 应用程序模型进行静态分析。mendix aqm 还可以帮助用户主动确定相关质量问题的性质和位置。此外,mendix apm工具可以记录所有级别的日志记录、分析mendix应用程序的性能并测量内存和 cpu 使用率。
安全永无止境
保障应用安全是一项艰巨的任务。企业的首要目标是创造业务价值,但确保企业和客户数据安全同样不容小觑。因此,企业必须在更快地开发出更多应用和确保安全之间找到平衡。即使开发应用的速度再快,功能和界面再酷炫,如果无法保证使用和数据的安全性,也毫无用处。
正是因为认识到这一点,mendix设计的mendix 平台,在帮助企业更快构建和部署的同时,更好地把控安全。